如何防止 USB 上的持久安装访问 HDD

Question 1

标准用户的持久活动驱动器，无法安装内部驱动器

我做了一个持续的现场驾驶韓國来自ubuntu-16.04.1-desktop-amd64.iso，这是目前 iso 文件支持时间最长的。

标准用户 ID (与普通实时系统的用户 'ubuntu' 一起) 无法运行需要以下程序sudo：“standard 不在 sudoers 文件中。此事件将被报告。”内部驱动器上的分区未安装。要安装它们，您需要具有和的sudo权限。mountudisksctl

持久实时系统将启动到 ubuntu 用户，然后您注销才能切换到标准用户。

使用加密主页`users-admin`

可以创建带有加密主页的标准用户 ID，并使用 [好] 密码登录。如果users-admin通过激活存储库universe并安装软件包来安装该程序，则可以轻松完成此操作gnome-system-tools。

sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools

根据屏幕截图勾选该框以创建具有加密主页的新用户。

使用加密主页后应关闭或重启计算机。否则，实时用户（或其他用户）就可以访问加密数据。

具有标准用户和具有管理权限的用户的持久实时驱动器

我做了一个持续的现场驾驶韓國来自ubuntu-16.04.2-desktop-amd64.iso，这是一个较新的 LTS iso 文件，以便测试这些任务是否适用于多个 iso 文件。

在某些计算机中，登录后（注销后）系统可能会让您看到黑屏。这可能取决于图形驱动程序。如果发生这种情况，您可以使用鼠标或键盘进行一些操作以进入桌面。如果仍然没有运气，您可以输入文本屏幕，然后使用热键组合返回图形屏幕

ctrl+ alt+F1

ctrl+ alt+F7

可以创建另一个具有管理权限的用户 ID，用于管理系统任务，例如安装和升级程序包（如果您出于安全原因想要分开这些任务）。如果您愿意，可以为一个（或两个）用户 ID 设置加密主页。

使用这两个用户 ID，可以删除实时系统的普通用户“ubuntu”。您可以在终止以用户“ubuntu”身份运行的进程后，从具有管理权限的用户 ID 执行此操作

ps -Af | grep ubuntu  # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>

sudo deluser ubuntu

之后，您还可以删除“casper-rw”分区（或文件）中有关已删除用户的内容（如果您愿意），但可能没有太多数据，因此不是很重要，除非您怀疑有一些机密数据。

现在删除实时系统的普通用户 'ubuntu' 后，持续直播系统将启动到登录屏幕，您可以选择以哪个用户 ID 登录，标准用户或具有管理权限的用户。我喜欢这种行为，并且我认为它值得付出额外的努力（与具有标准用户的系统以及正常实时系统的用户“ubuntu”相比）。

备份很重要

经常备份很重要，因为它是

持久实时系统（使其敏感）
加密系统（难以修复/恢复）。

请参阅此链接：持久覆盖数据的备份和恢复

安全 - 关闭交换

如果此类系统在内部驱动器中找到交换分区，它可能会使用它，并可能留下未加密的痕迹。所以请如果计算机内部驱动器中有 Linux 交换分区，请关闭交换。您运行系统的位置。

您必须登录或使用具有管理权限的用户 ID“guru”来“su”才能关闭交换

su - guru
/sbin/swapon -s  # check
sudo /sbin/swapoff -a
/sbin/swapon -s  # check
exit

与已安装的系统相比

将这种持久的实时系统与已安装的系统（两种情况下都在 USB 闪存盘中）进行比较，

优势：

比已安装的系统更具便携性。

缺点：

较不稳定（比已安装的系统更不稳定）。
安全性较差（加密主目录的安全性不如加密磁盘，这在已安装的系统中是可能的）。但它可能足够安全。

Answer

标准用户的持久活动驱动器，无法安装内部驱动器

我做了一个持续的现场驾驶韓國来自ubuntu-16.04.1-desktop-amd64.iso，这是目前 iso 文件支持时间最长的。

标准用户 ID (与普通实时系统的用户 'ubuntu' 一起) 无法运行需要以下程序sudo：“standard 不在 sudoers 文件中。此事件将被报告。”内部驱动器上的分区未安装。要安装它们，您需要具有和的sudo权限。mountudisksctl

持久实时系统将启动到 ubuntu 用户，然后您注销才能切换到标准用户。

使用加密主页`users-admin`

可以创建带有加密主页的标准用户 ID，并使用 [好] 密码登录。如果users-admin通过激活存储库universe并安装软件包来安装该程序，则可以轻松完成此操作gnome-system-tools。

sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools

根据屏幕截图勾选该框以创建具有加密主页的新用户。

使用加密主页后应关闭或重启计算机。否则，实时用户（或其他用户）就可以访问加密数据。

具有标准用户和具有管理权限的用户的持久实时驱动器

我做了一个持续的现场驾驶韓國来自ubuntu-16.04.2-desktop-amd64.iso，这是一个较新的 LTS iso 文件，以便测试这些任务是否适用于多个 iso 文件。

在某些计算机中，登录后（注销后）系统可能会让您看到黑屏。这可能取决于图形驱动程序。如果发生这种情况，您可以使用鼠标或键盘进行一些操作以进入桌面。如果仍然没有运气，您可以输入文本屏幕，然后使用热键组合返回图形屏幕

ctrl+ alt+F1

ctrl+ alt+F7

可以创建另一个具有管理权限的用户 ID，用于管理系统任务，例如安装和升级程序包（如果您出于安全原因想要分开这些任务）。如果您愿意，可以为一个（或两个）用户 ID 设置加密主页。

使用这两个用户 ID，可以删除实时系统的普通用户“ubuntu”。您可以在终止以用户“ubuntu”身份运行的进程后，从具有管理权限的用户 ID 执行此操作

ps -Af | grep ubuntu  # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>

sudo deluser ubuntu

之后，您还可以删除“casper-rw”分区（或文件）中有关已删除用户的内容（如果您愿意），但可能没有太多数据，因此不是很重要，除非您怀疑有一些机密数据。

现在删除实时系统的普通用户 'ubuntu' 后，持续直播系统将启动到登录屏幕，您可以选择以哪个用户 ID 登录，标准用户或具有管理权限的用户。我喜欢这种行为，并且我认为它值得付出额外的努力（与具有标准用户的系统以及正常实时系统的用户“ubuntu”相比）。

备份很重要

经常备份很重要，因为它是

持久实时系统（使其敏感）
加密系统（难以修复/恢复）。

请参阅此链接：持久覆盖数据的备份和恢复

安全 - 关闭交换

如果此类系统在内部驱动器中找到交换分区，它可能会使用它，并可能留下未加密的痕迹。所以请如果计算机内部驱动器中有 Linux 交换分区，请关闭交换。您运行系统的位置。

您必须登录或使用具有管理权限的用户 ID“guru”来“su”才能关闭交换

su - guru
/sbin/swapon -s  # check
sudo /sbin/swapoff -a
/sbin/swapon -s  # check
exit

与已安装的系统相比

将这种持久的实时系统与已安装的系统（两种情况下都在 USB 闪存盘中）进行比较，

优势：

比已安装的系统更具便携性。

缺点：

较不稳定（比已安装的系统更不稳定）。
安全性较差（加密主目录的安全性不如加密磁盘，这在已安装的系统中是可能的）。但它可能足够安全。

Question 2

正如前面提到的，没有对机器的物理控制就没有真正的安全性，而只是关注标准用户并限制对磁盘的访问，这是默认设置。除非您在 /etc/fstab 中输入一个条目以允许普通用户挂载分区，否则他们无法挂载它。

你说的话让我有点困惑，但是 sudo 访问可以通过 sudo 组或“admin”组进行（11.10 之后不再存在，但仍在 sudoers 文件中）。显然，“admin”不是 /etc/adduser.conf 中列出的系统组）。由于“ubuntu”条目位于 /etc/sudoers.d/casper 文件中，因此这为 ubuntu 提供了 sudo 功能。

我启动了 aa（持久）mkusb USB 媒体，创建了一个用户，但该用户无法挂载我的硬盘，也没有任何 sudo 功能。

因此，问题在于默认用户“ubuntu”没有密码，但具有 sudo 功能（直接来自 /etc/sudoers.d/casper）——这使得任何人都可以使用 sudo 功能，因为他们可以切换到 ubuntu 用户。这是一个实时媒体，有些功能不会像完整安装那样工作，但由于您有另一个 sudo 用户，请按顺序尝试：

删除 /etc/sudoers.d/casper 文件。这将删除 ubuntu 的 sudo 访问权限。
为 ubuntu 用户设置密码。这本身可能就足够了，但 /etc/sudoers.d/casper 文件中有一个很大的“NOPASSWORD”，可能也需要更改。
彻底删除 ubuntu 用户。

Answer

正如前面提到的，没有对机器的物理控制就没有真正的安全性，而只是关注标准用户并限制对磁盘的访问，这是默认设置。除非您在 /etc/fstab 中输入一个条目以允许普通用户挂载分区，否则他们无法挂载它。

你说的话让我有点困惑，但是 sudo 访问可以通过 sudo 组或“admin”组进行（11.10 之后不再存在，但仍在 sudoers 文件中）。显然，“admin”不是 /etc/adduser.conf 中列出的系统组）。由于“ubuntu”条目位于 /etc/sudoers.d/casper 文件中，因此这为 ubuntu 提供了 sudo 功能。

我启动了 aa（持久）mkusb USB 媒体，创建了一个用户，但该用户无法挂载我的硬盘，也没有任何 sudo 功能。

因此，问题在于默认用户“ubuntu”没有密码，但具有 sudo 功能（直接来自 /etc/sudoers.d/casper）——这使得任何人都可以使用 sudo 功能，因为他们可以切换到 ubuntu 用户。这是一个实时媒体，有些功能不会像完整安装那样工作，但由于您有另一个 sudo 用户，请按顺序尝试：

删除 /etc/sudoers.d/casper 文件。这将删除 ubuntu 的 sudo 访问权限。
为 ubuntu 用户设置密码。这本身可能就足够了，但 /etc/sudoers.d/casper 文件中有一个很大的“NOPASSWORD”，可能也需要更改。
彻底删除 ubuntu 用户。

如何防止 USB 上的持久安装访问 HDD

答案1

标准用户的持久活动驱动器，无法安装内部驱动器

使用加密主页`users-admin`

具有标准用户和具有管理权限的用户的持久实时驱动器

备份很重要

安全 - 关闭交换

与已安装的系统相比

答案2

相关内容

答案1

标准用户的持久活动驱动器，无法安装内部驱动器

使用加密主页users-admin

具有标准用户和具有管理权限的用户的持久实时驱动器

备份很重要

安全 - 关闭交换

与已安装的系统相比

答案2

相关内容

使用加密主页`users-admin`